Gli Stati Uniti, primi al mondo, hanno messo a punto una nuova strategia contro il ransomware, mutuandola dalla lotta al terrorismo.
Si tratta di un nuovo approccio, definibile victim-centered. Due i punti principali:
- Prevenzione quanto più possibile, con informazione/formazione alle vittime potenziali, analisi del dark web per anticipare le mosse dei criminali. Intelligence, quindi. E contro-attacco preventivo, buttando giù le botnet.
- Follow the money, scandagliando le catene delle blockchain per risalire ai wallet dei criminali per sequestrarli e provare a recuperare almeno un po’ dei soldi.
La novità, emersa a luglio, è che l’FBI è riuscito a recuperare mezzo milione di dollari dal riscatto pagato da varie strutture mediche.
Il nuovo approccio americano alla lotta al ransomaware
Maui, chi è e come agisce la gang ransomware nordcoreana che ha colpito gli ospedali USA
La nuova strategia si è resa necessaria perché il numero di attacchi cyber alle organizzazioni sanitarie statunitensi è aumentato del 94% dal 2021 ad oggi; in particolar modo è in corso un’intensiva campagna ransomware proveniente dalla Corea del Nord che ha preso di mira gli ospedali statunitensi.
Durante un attacco ransomware, gli hacker bloccano i dati di un’azienda e offrono chiavi per sbloccare i file in cambio di una grossa somma di denaro. Nel maggio 2021, un ospedale in Kansas è stato vittima di tale attacco.
Gli hacker hanno utilizzato un ceppo di malware noto come “Maui” per crittografare i server e i file dell’ospedale, chiedendo il pagamento di un riscatto in cambio della chiave per sbloccare i dati. Dopo aver fallito nel riottenere l’accesso ai server per più di una settimana, l’ospedale ha pagato i criminali.
Il recupero di parte dei soldi è stato possibile grazie a una nuova strategia di collaborazione.
Se in passato le vittime di attacchi cyber tendevano a pagare direttamente il riscatto per ottenere i dati rubati, ciò che ha fatto la differenza in questo caso è stata la pronta segnalazione all’FBI da parte dell’ospedale, che ha consentito agli investigatori federali di identificare questo nuovo tipo di malware e tracciare i pagamenti effettuati dalle vittime ai riciclatori di denaro cinesi che aiutano i criminali informatici nordcoreani a convertire la criptovaluta in valuta legale.
Negli ultimi anni, la frequenza degli attacchi ransomware è aumentata, in particolar modo sono stati oggetto di tale aggressione diverse istituzioni pubbliche, fra cui scuole, ospedali e governi locali. A febbraio, la comunità dell’intelligence statunitense, nella sua ultima valutazione annuale delle minacce cyber, ha avvertito che i criminali informatici stanno aumentando il numero, la portata e la sofisticatezza di questi attacchi, alimentando un ecosistema virtuale che tenderà a causare maggiori interruzioni dei servizi critici in tutto il mondo. Nel report si afferma che i criminali sono guidati dalla promessa di ingenti profitti e centri operativi sicuri e affidabili.
Un sistema di alert e prevenzione
Per combattere tale minaccia, nel 2021 il Dipartimento di Giustizia ha lanciato la Ransomware and Digital Extortion Task Force e il National Cryptocurrency Enforcement Team.
Di fatto, l’FBI incoraggia da tempo le vittime di ransomware ad allertare le autorità invece di cedere alle richieste dei criminali informatici; tuttavia, un recente sondaggio ha rilevato che la metà delle istituzioni prese di mira da un attacco ransomware hanno comunque effettuato un pagamento per recuperare i propri dati.
Secondo un rapporto della società di sicurezza informatica Sophos, più di due terzi delle organizzazioni sanitarie negli Stati Uniti hanno dichiarato di aver subito questo genere di attacco nel 2021, rispetto al 34% del 2020. Gli attacchi ransomware all’assistenza sanitaria sono particolarmente comuni nel Paese, registrandone il 41% a livello globale: tali attacchi hanno causato gravi interruzioni di sistema, inclusi trattamenti chemioterapici che sono stati ritardati dopo il congelamento dei sistemi informatici. Di fatto, durante il corso del 2021, il 61% degli ospedali che hanno subito un attacco ransomware ha pagato il riscatto, la percentuale più alta di qualsiasi settore industriale.
Si sta cercando di trovare una soluzione al problema, come il disegno di legge bipartisan chiamato Healthcare Cybersecurity Act, che indirizzerebbe la CISA e il Dipartimento della salute e dei servizi umani (HHS) a collaborare ad un piano per rafforzare le misure di sicurezza informatica tra le organizzazioni sanitarie e di sanità pubblica.
La Cybersecurity and Infrastructure Security Agency (CISA) ha affermato che: “gli attori informatici sponsorizzati dallo stato nordcoreano probabilmente pensano che le organizzazioni sanitarie siano disposte a pagare riscatti perché forniscono servizi fondamentali per la vita e la salute umana”; tuttavia, la CISA e altri hanno consigliato agli ospedali di non pagare i riscatti.
A fronte di un continuo aumento di questo tipo di attacchi, la prevenzione risulta essere fondamentale. Tale attività comporta lo svolgimento di una serie di procedimenti analitici, volti alla gestione e alla mitigazione dei rischi. Un’efficace prevenzione da attacchi ransomware richiede la presenza contestuale di una molteplicità di pratiche che possono essere messe in campo: garantire agli utenti una maggiore consapevolezza sui possibili rischi cyber, quindi educarli a proteggersi da tali minacce; sfruttare le attività di intelligence, al fine di attuare una raccolta e un’analisi di informazioni utili per garantire la sicurezza e la tutela della comunità; implementare lo sviluppo di tecnologie informatiche di modo da limitare notevolmente le possibilità che gli aggressori abbiano successo.
Oltre a questa serie di indicazioni, di natura più o meno tecnica, un altro elemento fondamentale è la celerità: a fronte di una segnalazione da parte della vittima, la risposta deve essere il più immediata ed efficiente possibile. Le segnalazioni che provengono dai singoli, dalle aziende e da qualsiasi altro soggetto pubblico o privato costituiscono il primo passo per attuare un’efficace attività di prevenzione e mitigazione dei rischi derivanti da questa tipologia di attacchi.
Relativamente al caso precedentemente analizzato, le agenzie governative statunitensi e lo stesso Presidente Biden hanno definito l’attacco ransomware come una delle principali minacce alla sicurezza nazionale. Le agenzie di intelligence americane si sono recentemente riunite per discutere sulle modalità di contrattacco dell’amministrazione Biden agli attacchi informatici. L’incontro aveva l’obiettivo di elaborare un’efficace strategia di cooperazione che vedesse impegnate le agenzie statunitensi e le aziende in un piano comune per difendere i settori critici dell’economia e rispondere a potenziali attacchi hacker.
Nel gennaio del 2021, la CISA ha presentato una campagna per ridurre il rischio di ransomware, finalizzata ad accrescere la consapevolezza in materia ed avviare azioni per combattere la minaccia in continua evoluzione. Questa comprende un toolkit semplice e versatile e prevede uno sforzo mirato e coordinato volto a sostenere le organizzazioni del settore pubblico e privato ad implementare pratiche, strumenti e risorse di contrasto.
Tracciare transazioni blockchain e recuperare i soldi
L’altro fronte della strategia è tracciare le transazioni per provare a recuperare qualcosa di quanto pagato dalle vittime, com’è successo nel caso Colonial Pipeline e in quest’ultimo.
Sappiamo quanto è difficile rintracciare i criminali che operano in questo modo. In realtà, la blockchain per sua natura registra ogni singola transazione e, nonostante gli sforzi dei malintenzionati, le forze dell’ordine hanno dimostrato, collaborando con alcune società di sicurezza informatica specializzate nel monitoraggio delle criptovalute, di poter trovare e identificare chi riceve i riscatti. Perseguirli è un altro discorso, se i soggetti risiedono in Iran, Russia o Nord Corea (ma ci sono casi recenti di residenti negli USA, che sono stati arrestati). Bisogna aspettare che facciano un viaggio in Occidente, per colpirli, com’è successo.
L’FBI e altre agenzie hanno dimostrato più volte negli ultimi mesi di poter utilizzare una serie di tecniche investigative forensi per rintracciare questi soggetti. Alcune di queste tecniche, a dire il vero, non sono sempre del tutto chiare nei verbali dei tribunali o non sono chiaramente indicate le modalità esatte con cui hanno agito, perché si può immaginare che ci siano alcuni strumenti che le agenzie di intelligence statunitensi stanno utilizzando per aiutare nelle indagini su alcuni di questi attacchi.
Certo però gli investigatori hanno la possibilità di seguire il denaro sulla blockchain e, in alcuni casi, di sequestrare i fondi lasciati in un portafoglio di valuta digitale. L’hackeraggio della struttura medica del Kansas ha richiesto l’aiuto delle forze dell’ordine, che sono riuscite a recuperare circa mezzo milione di dollari. Non è chiaro quanto non sia stato recuperato. Non è del tutto chiaro se questa sia stata la totalità del pagamento in questo specifico hack e non è nemmeno chiaro quanto denaro gli hacker nordcoreani siano riusciti a riscattare in altri casi e a cui abbiano ancora accesso.
Il messaggio dell’America ai cyber criminali è chiaro: “se prendete di mira il popolo americano, le nostre piccole imprese, i nostri ospedali e le nostre infrastrutture critiche il Dipartimento di Giustizia vi prenderà di mira”. Così si è espressa Lisa Monaco, Vice Procuratore generale degli Stati Uniti alla Conferenza internazionale sulla sicurezza informatica, tenutasi presso la Fordham Law School di New York. L’obiettivo è quello di dedicare sempre più risorse nel tentativo di sventare gli attacchi prima che possano produrre danni, dato che sarebbe difficile processare organizzazioni criminali, spesso straniere, che potenzialmente potrebbero non subire mai una condanna.
La lezione da apprendere dagli USA
Nel confrontare l’approccio americano nel contrasto alla minaccia informatica con quello utilizzato per combattere il terrorismo, la Vice Procuratore Monaco ha altresì sottolineato come oggi il focus sia sulle vittime degli attacchi, per comprendere come massimizzare le proprie capacità evitando così che possano essercene altre. Le tecnologie di cui dispongono gli Stati Uniti sono tra le più efficienti al mondo, così come i loro servizi di sicurezza; nonostante ciò, questi non sono stati in grado di prevenire eventi come quelli accaduti l’11 settembre 2001. A tal proposito, si è parlato spesso di “intelligence failure” come il risultato di una serie di “errori” cognitivi, burocratici e politici radicati nel sistema e nell’amministrazione americana.
Non basta quindi possedere gli strumenti adeguati a fronteggiare determinate minacce, ma è necessario anche detenere il corretto know how per poterli mettere in pratica. I mutamenti che hanno caratterizzato l’inizio del nuovo secolo sono oggi in continua evoluzione, e con essi devono evolvere anche strategie e strumenti atti a fornire risposte adeguate.
